发新帖

Android病毒样本分析报告

[复制链接]
15015 7
文档名称
Android木马”sysphones分析报告
文档版本
V1.0
发布日期
2014.XX.XX
编写人
                         Andy
文档摘要
该程序以正版官方包为基础进行修改,在原包中添加恶意代码,利用系统漏洞获取管理员权限,恶意程序能够静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私。
说明:图片在本地很清楚但上传后好像看不太清楚可以下载附件,附件中有图片清楚的文档
因语言组织能力比较差,分析过程语言表述比较稀少,看分析流程即可。
Android木马” sysphones”分析报告
1. 基本信息
病毒名称:xxxx.xxxx.sysphones
样本MD5:e52ac97a64315592b21b573ccda28979
样本包名:com.baoruan.navigateouy
样本证书串号:53507a6c
2. 特征描述
该程序利用系统漏洞获取管理员权限,能够静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私。
一、  样本行为分析:

软件安装运行:
                图1                     图2
               图3                          图4
如图1所示,安装该病毒软件后桌面上出现正常的桌面精灵图标。运行病毒样时后台会偷偷获取root权限,如图2所示。病毒打开后会正常显示桌面精灵的应用界面,如图3所示。但病毒应用会在后台启动恶意代码,在无任何提示的情况下私自下载大量推广应用并静默安装,如图4所示。
二、  样本权限分析:
官方渠道下载的正版桌面精灵应用所需权限,如下图:
                             5
病毒应用篡改官方包后增加的危险权限,如下图:
                            6
三、  样本代码分析:
病毒应用入口com.baoruan.navigate.ui.MainActivity,如下图所示:
病毒程序启动onCreate方法,在onCreate函数中调用o函数,从而激活私自下载和静默安装代码。onCreate函数代码如下图:
函数o的部分代码,其中m函数被调用,通过m函数调用私自下载函数,如下图:
函数m调用下载函数的代码,如下图:
病毒应用实现推广软件下载功能的代码,如下图:
监听推广软件是否下载完成,下载完成则启动静默安装功能,代码如下图:
函数b根据不同的推广应用包名,开启不同的线程并调用静默安装代码,如下图:
在开启的线程中调用静默安装代码,并将要安装的包名路径做为参数传入,如下图:
函数a中调用获取root权限命令,非法获取root权限。进而实现静默安装功能,如下图:
结论
此病毒通过修改正版官方包骗取户信任,用户在运行该病毒软件时,其会利用系统漏洞获取管理员权限,静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私,建议用户在安装和使用软件时如发现手机中不明原因的增加新应用,一定要警惕是否存在该类型恶意软件。
附件: 仅供学习参考    链接: http://pan.baidu.com/s/1i3svmfz 密码: cb3m
解压密码:www.pd521.com

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

举报 使用道具

回复

精彩评论7

FIGHTING    发表于 2014-12-13 10:25:46 | 显示全部楼层
样本在附件:shutup:

举报 使用道具

回复 支持 反对
蝌蚪它大爷    发表于 2014-12-17 12:33:29 | 显示全部楼层
很好很强大,谢谢分享~研究学习下~

举报 使用道具

回复 支持 反对
听鬼哥说故事    发表于 2014-12-17 14:18:21 | 显示全部楼层
挺详细的资源,赞一个

举报 使用道具

回复 支持 反对
lies2014    发表于 2014-12-17 23:32:46 | 显示全部楼层
谢谢分享,学习受教了

举报 使用道具

回复 支持 反对
JackIO    发表于 2014-12-30 18:38:10 | 显示全部楼层
这个比较给力,赞一个。

举报 使用道具

回复 支持 反对
放手一搏    发表于 2015-8-2 15:02:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

举报 使用道具

回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表